Share this page!

Marc Almeida Profile picture
Twitter logo
May 31 4 tweets 2 min read
Permitidme que siga algo potencialmente obvio y que quizás "todiós" sabe sobre #Follina, Word es solamente uno de los posibles vectores de ejecución. Una "tontería" en Python como

os.system(decode_this(payload))*

También lo ejecuta, un JS en una web, también...
*el método "decode_this" decodifica una cadena en base64, un añadido que he probado, nada más.
siendo, payload, la variable que contiene el string, que contiene la "magia" de la ejecución de "solución de problemas" para Windows que, a su vez, ejecuta X
Otra cosa, por lo menos con Process Explorer, la "cadena o árbol" de ejecución se rompe, el proceso calculator.exe so aparece como "hijo" de msdt.exe, claro, msdt.exe "no" ha ejecutado nada ¿no? Image

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Marc Almeida

Marc Almeida Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @cibernicola_es

Marc Almeida Profile picture
May 30
Word, Windows y el solucionador de problemas, todo "arrejuntado" logra ejecutar terceras aplicaciones.
+info
Read 5 tweets
Marc Almeida Profile picture
Mar 27
Hablemos un momento sobre #fakeNews que están basadas en hechos reales, pero en realidad no, aunque si, pero no, en realidad no.
Hoy he tenido el placer intelectual de toparme de bruces con un "medio": eldebate[.]com gracias al bueno de Ismael. Hilo

El bueno de Ismael tira de dos capturas una del mega titular y otra del bueno de Alvise (todos son buenos)
De Alvise queda poco que decir, la captura parece de un documento confidencial exfiltrado por algún APT Ruso. Pero vamos a por el pseudo medio y la noticia
Me hallaba comentando la jugada con @davidalqabri y hemos hecho una labor de "venga va, empecemos desde el principio" y
a) nos hemos leído el artículo
b) Hemos querido encontrar las fuentes de las que se nutre tan magna obra del periodismodeinvestigaciónparanadatendencioso
Read 28 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(